Показано с 1 по 1 из 1.

Шифровальщик SyncCrypt прячет свои компоненты в изображениях

  1. #1
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296

    Шифровальщик SyncCrypt прячет свои компоненты в изображениях

    Недавно обнаруженный вымогатель скрывает свои компоненты внутри легитимных изображений. Таким образом вредоносу удается избежать обнаружения антивирусом.

    SyncCrypt – вымогатель, распространяющийся через спам-письма, в которых содержатся вложения в виде WSF-файлов, которые маскируются под приказ суда. При запуске этих вложений встроенный JScript извлекает, казалось бы, безобидные изображения, которые однако содержат вредоносные компоненты.

    Компоненты вымогателя хранятся в виде ZIP-файлов, JScript извлекает их в виде sync.exe, readme.html и readme.png, сообщает Лоуренс Абрамс из BleepingComputer.

    Файл WSF также создает запланированное задание Windows под названием Sync. Как только файл sync.exe выполняется, он начинает сканирование компьютера жертвы на наличие определенных типов файлов и шифрует их с помощью AES-шифрования. Вредоносная программа шифрует AES-ключ встроенным ключом шифрования RSA-4096.

    SyncCrypt шифрует более чем 350 типов файлов и добавляет к ним расширение .kk. Вредонос игнорирует файлы в следующих папках: \windows\, \program files (x86)\, \program files\, \programdata\, \winnt\, \system volume information\, \desktop\readme\ и \$recycle.bin\.

    Злоумышленники требуют 430 долларов за расшифровку файлов, также требуют выслать им файл ключа. Хакеры пользуются следующими адресами электронной почты: [email protected], [email protected] и [email protected].

    Способ распространения этого вымогателя оказался очень эффективным, так как позволяет избегать обнаружения антивирусными программами. Согласно Абрамсу, только один из 58 антивирусных вендоров на VirusTotal смог обнаружить вредоносные изображения во время анализа. Однако файл Sync.exe детектируется уже 28 продуктами.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Ответов: 26
    Последнее сообщение: 24.01.2017, 07:29
  2. Ответов: 6
    Последнее сообщение: 26.08.2014, 10:40
  3. Ответов: 11
    Последнее сообщение: 14.10.2009, 11:54
  4. Outpost - изменяются компоненты
    От MedvedD в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 02.05.2006, 14:21

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01258 seconds with 17 queries